이 페이지에는 Azure Databricks의 서비스 주체에 대한 개요가 있습니다. 서비스 주체를 관리하는 방법은 서비스 주체 관리를 참조하세요.
서비스 주체란?
서비스 주체는 자동화 및 프로그래밍 방식 액세스를 위해 설계된 Azure Databricks의 특수 ID입니다. 서비스 주체는 Azure Databricks 리소스에 대한 자동화된 도구 및 스크립트 API 전용 액세스를 제공하여 사용자 계정을 사용하는 것보다 더 큰 보안을 제공합니다.
Azure Databricks 사용자와 동일한 방식으로 리소스에 대한 서비스 주체의 액세스를 부여하고 제한할 수 있습니다. 예를 들어, 다음을 할 수 있습니다:
- 서비스 주체에게 계정 관리자 또는 작업 영역 관리자 역할 부여
- Unity 카탈로그를 사용하여 서비스 주체에게 데이터에 대한 액세스 권한을 부여합니다.
- 서비스 주체를 그룹에 멤버로 추가합니다.
Azure Databricks 사용자, 서비스 주체 및 그룹에게 서비스 주체를 사용할 수 있는 권한을 부여할 수 있습니다. 이렇게 하면 사용자가 자신의 ID 대신 서비스 주체로 작업을 실행할 수 있으므로 사용자가 조직을 떠나거나 그룹을 수정할 경우 작업이 실패하지 않습니다.
서비스 주체 사용의 이점:
- 보안 및 안정성: 개별 사용자 자격 증명을 사용하지 않고 작업 및 워크플로를 자동화하여 사용자 계정 변경 또는 이탈과 관련된 위험을 줄입니다.
- 유연한 권한: 사용자, 그룹 또는 다른 서비스 주체가 서비스 주체에게 권한을 위임하여 그들을 대신하여 작업을 수행할 수 있도록 설정합니다.
- API-Only ID: 일반 Databricks 사용자와 달리 서비스 주체는 API 액세스를 위해서만 설계되었으며 Databricks UI에 로그인할 수 없습니다.
Databricks 및 Microsoft Entra ID 서비스 주체
서비스 주체는 Azure Databricks 관리형 서비스 주체 또는 Microsoft Entra ID 관리형 서비스 주체일 수 있습니다.
Azure Databricks 관리형 서비스 주체는 Databricks OAuth 인증 및 개인용 액세스 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. Microsoft Entra ID 관리형 서비스 주체는 Databricks OAuth 인증 및 Microsoft Entra ID 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. 서비스 주체의 인증에 대한 자세한 내용은 서비스 주체의 토큰 관리를 참조하세요.
Azure Databricks 관리형 서비스 주체는 Azure Databricks 내에서 직접 관리됩니다. Microsoft Entra ID 관리형 서비스 주체는 추가 권한이 필요한 Microsoft Entra ID에서 관리됩니다. Databricks는 Azure Databricks 자동화를 위해 Azure Databricks 관리 서비스 주체를 사용할 것을 권장하며, Azure Databricks와 기타 Azure 리소스를 동시에 인증해야 할 경우에는 Microsoft Entra ID 관리 서비스 주체를 사용할 것을 권장합니다.
Azure Databricks 관리형 서비스 주체를 만들려면 이 섹션을 건너뛰고 서비스 주체를 관리하고 사용할 수 있는 사용자를 계속 읽어보세요.
Azure Databricks에서 Microsoft Entra ID 관리형 서비스 주체를 사용하려면 관리 사용자가 Azure에서 Microsoft Entra ID 애플리케이션을 만들어야 합니다. Microsoft Entra ID 관리 서비스 주체를 만들려면 MS Entra 서비스 주체 인증을 참조하세요.
서비스 주체를 관리하고 사용할 수 있는 사람은 누구입니까?
Azure Databricks에서 서비스 주체를 관리하려면 계정 관리자 역할, 작업 영역 관리자 역할 또는 서비스 주체의 관리자 또는 사용자 역할 중 하나가 있어야 합니다.
- 계정 관리자는 계정에 서비스 주체를 추가하고 관리자 역할을 할당할 수 있습니다. 또한 해당 작업 영역에서 ID 페더레이션을 사용하는 한, 서비스 주체를 작업 영역에 할당할 수 있습니다.
- 작업 영역 관리자는 Azure Databricks 작업 영역에 서비스 주체를 추가하고, 사용자에게 작업 영역 관리자 역할을 할당하고, 작업 영역의 개체 및 기능에 대한 액세스를 관리할 수 있습니다(예: 클러스터를 만들거나 지정된 개인 기반 환경에 액세스하는 기능).
- 서비스 주체 관리자는 서비스 주체의 역할을 관리할 수 있습니다. 서비스 주체의 작성자는 서비스 주체 관리자가 됩니다. 계정 관리자는 계정의 모든 서비스 주체에 대한 서비스 주체 관리자입니다.
- 서비스 주체 사용자는 서비스 주체로서 작업을 실행할 수 있습니다. 작업은 작업 소유자의 ID 대신 서비스 주체의 ID를 사용하여 실행됩니다. 자세한 내용은 Lakeflow 작업에 대한 ID, 권한 및 권한 관리를 참조하세요.
서비스 주체 관리자 역할이 있는 사용자는 서비스 주체 사용자 역할을 상속하지 않습니다. 서비스 주체를 사용하여 작업을 실행하려면 서비스 주체를 만든 후에도 서비스 주체 사용자 역할을 명시적으로 할당해야 합니다.
서비스 주체 관리자 및 사용자 역할을 부여하는 방법에 대한 자세한 내용은 서비스 주체관리하기 위한
Microsoft Entra ID 테넌트에서 Azure Databricks 계정에 서비스 주체 동기화
자동 ID 관리(공개 미리 보기)를 사용하여 Microsoft Entra ID 테넌트에서 Azure Databricks 계정으로 Microsoft Entra ID 서비스 주체를 자동으로 동기화할 수 있습니다. Databricks는 Microsoft Entra ID를 원본으로 사용하므로 사용자 또는 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다. 설명서를 보려면 Microsoft Entra ID 에서 사용자 및 그룹을 자동으로 동기화하는 방법에 대한 안내를에서 참조하세요.
SCIM 프로비저닝은 서비스 주체 동기화를 지원하지 않습니다.